‘KT 소액결제’ 40대 피의자들 구속…펨토셀 어떻게 활용했나

▲ 'KT 소액결제' 사건 피의자 40대 A씨가 영장실질심사를 위해 법원으로 이동하고 있다./연합뉴스

KT 이용자를 타깃으로 발생한 무단 소액결제 사건의 배후에 '불법 초소형 기지국(펨토셀)' 해킹이 있었음이 밝혀지며 통신 보안 체계에 비상이 걸렸다. 수원지법 안산지원 정진우 영장전담 부장판사는 18일 정보통신망법 위반 및 컴퓨터 사용 사기 혐의를 받는 중국 국적 A(48)씨와 B(44)씨에 대해 "도망의 염려가 있다"며 구속영장을 발부했다.

앞서 경기남부경찰청 사이버수사대는 지난 16일 인천공항과 서울 영등포에서 이들을 각각 체포했다. A씨는 지난달 말부터 승합차에 불법 펨토셀 장비를 싣고 광명과 서울 금천 일대를 돌며 인근 KT 이용자의 휴대전화를 해킹, 모바일상품권 구매 및 교통카드 충전 등을 실행한 혐의를 받는다. B씨는 탈취한 자산을 현금화하는 역할을 맡았다.

피해 규모는 당초 예상보다 눈덩이처럼 불어났다. KT의 상향 집계 결과, 피해 고객은 362명, 피해액은 2억 4000만 원대에 달한다. 특히 불법 펨토셀 신호를 수신한 단말기 1만 9000여 대 중 5,561명에서 국제가입자식별번호(IMSI)가 노출된 정황이 추가로 확인됐다.

▲ 'KT 소액결제' 사건 피의자 40대 B씨가 영장실질심사를 위해 법원으로 이동하고 있다./연합뉴스

보안 전문가들은 이번 사건이 구형 장비의 취약점과 암호화 미적용이 겹친 '인재'라고 입을 모은다. 이기혁 중앙대 교수는 "구형 펨토셀과 단말 환경에서 특정 구간의 종단 간 암호화가 이뤄지지 않아 인증번호 탈취가 가능했을 것"이라고 분석했다. 곽진 아주대 교수 역시 "방치된 구형 장비가 중고 시장 등 사각지대로 흘러가 범행 도구로 악용됐을 가능성이 크다"고 지적했다.

실제 펨토셀은 소형 장비 특성상 설치와 수거 과정에서 관리가 소홀해지기 쉽다. 과학기술정보통신부와 한국인터넷진흥원(KISA)은 민관합동조사단을 꾸려 현장 점검에 나섰으며, 개인정보보호위원회도 조사에 착수했다. 경찰은 "중국 내 '윗선'의 지시를 받았다"는 피의자 진술을 토대로 국내외 배후 조직 검거를 위해 수사력을 집중하고 있다.

/김혜진 기자 trust@incheonilbo.com